2018年6月,我們接到一位來自北京的新客戶反映,說是他們單位收到一封來自北京市公安局海淀分局網(wǎng)安大隊的通知書,通知稱:貴單位網(wǎng)站存在網(wǎng)絡(luò)安全漏洞,網(wǎng)站被植入后門程序,要求你單位要在XX日之前,對網(wǎng)站進行安全整改,并要求提供完整的整改方案。對于未按期整改的,將被予以進行行政處罰,如下圖所示:
網(wǎng)安大隊的限期整改通知書,內(nèi)容如下:
北京市公安局海淀分局
信息系統(tǒng)安全等級保護限期整改通知書
京等保限字[2018]第06xxxx號
北京xxxxxxxxxxx
近日,我網(wǎng)監(jiān)大隊接通報,貴單位網(wǎng)站(域名:www.xxx.com)存在網(wǎng)絡(luò)安全漏洞。(詳見附件)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《信息安全等級保護管理辦法》的有關(guān)規(guī)定,請你單位立即對上述問題進行核實、處置,對本單位負責(zé)的所有網(wǎng)站和信息系統(tǒng)進行全面排查和持續(xù)整改,避免發(fā)生網(wǎng)絡(luò)安全事件,并在2個工作日內(nèi)將整改情況函告我單位在期限屆滿之前,你單位應(yīng)當(dāng)采取必要的應(yīng)急安全保護管理和技術(shù)措施,確保安全風(fēng)險及隱患消除前信息系統(tǒng)安全運行,防止被黑客攻擊利用.(注:對短期內(nèi)無法完成整改的,你單位應(yīng)制定整改截止時間明確的建設(shè)整改方案,并將該方案同整改情況一并報公安機關(guān))。
對于未按期限完成整改的,我單位將依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全等級保護管理辦法》的規(guī)定,對你單位進行行政處罰.
聯(lián)系單位:海淀分局網(wǎng)安大隊
聯(lián)系人:xx
聯(lián)系電話:xxxxxxxx
根據(jù)上述網(wǎng)警提供的網(wǎng)絡(luò)安全技術(shù)保護措施限期整改通知書,我們發(fā)現(xiàn)客戶網(wǎng)站的問題,簡單明了的指明了該新客戶的網(wǎng)站存在安全漏洞,被植入了木馬后門程序,黑鏈,跳轉(zhuǎn)到惡意網(wǎng)站。
針對客戶的網(wǎng)站安全問題,我們SINE安全公司立即組織網(wǎng)絡(luò)安全部門,成立信息系統(tǒng)安全等級保護小組,對該客戶的網(wǎng)站進行全面的網(wǎng)站安全檢測,網(wǎng)站漏洞檢測,網(wǎng)絡(luò)安全漏洞測試,首先我們來介紹下客戶網(wǎng)站的信息系統(tǒng)事發(fā)情況:
該網(wǎng)站采用的asp .net語言開發(fā),數(shù)據(jù)庫類型是SQL Server 2008,SiteFactory動易CMS系統(tǒng),使用阿里云的虛擬主機 G享主機-G1型號,來運行網(wǎng)站,網(wǎng)站的所有數(shù)據(jù)大小,包括程序代碼,圖片,數(shù)據(jù)庫總共占用2.3G。我們首先對網(wǎng)站進行安全備份,以防數(shù)據(jù)丟失,避免造成更大的經(jīng)濟損失。
客戶提供了網(wǎng)監(jiān)大隊的漏洞詳情附件,我們對其查看發(fā)現(xiàn),附件里指出網(wǎng)站的IAA目錄存在木馬后門文件,隨即我們立即登錄FTP,進行查看,確實發(fā)現(xiàn)有這么一個文件,對其人工安全審計發(fā)現(xiàn)該代碼是aspx一句話木馬后門。
這個代碼是一個隱蔽性極強的一句話后門,而且是過了所有殺毒軟件的查殺,一句話aspx后門的強大功能,可以對其網(wǎng)站進行全面的控制,上傳,下載,修改,都可以。
事發(fā)前網(wǎng)站系統(tǒng),一切正常運行并沒有發(fā)現(xiàn)任何篡改的痕跡,網(wǎng)站首頁沒有被惡意跳轉(zhuǎn)以及百度快照劫持篡改等相關(guān)的問題。后續(xù)我們對網(wǎng)站的所有文件,代碼,圖片,數(shù)據(jù)庫里的內(nèi)容,進行了詳細的安全檢測與對比,從SQL注入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網(wǎng)頁掛馬、網(wǎng)頁后門木馬檢測、包括一句話小馬、aspx大馬、腳本木馬后門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測。
那么看到這個文件就要分析網(wǎng)站到底是因為那些漏洞而被上傳了木馬文件的呢?
我們把檢測出來的信息系統(tǒng)安全漏洞進行了總結(jié):
1.檢測發(fā)現(xiàn)網(wǎng)站根目錄下的Global.asax文件被篡改,通過代碼發(fā)現(xiàn)該代碼被植入了惡意代碼,該惡意代碼是用來劫持各大搜索引擎的蜘蛛,用來收錄惡意內(nèi)容,做搜索詞的排名。溯源追蹤到調(diào)用的網(wǎng)址,發(fā)現(xiàn)該網(wǎng)址已停止解析。也就說內(nèi)容無法調(diào)用,也就不會造成搜索引擎蜘蛛的抓取。
2.檢測發(fā)現(xiàn)網(wǎng)站后臺文件上傳漏洞,可以上傳任意文件,包括aspx木馬文件的上傳,登錄后管理,打開系統(tǒng)設(shè)置—打開模板標(biāo)簽管理—添加內(nèi)嵌代碼—生成代碼即可生成aspx木馬文件。
3.后臺管理員賬號密碼安全隱患,很多賬號采用的密碼都是比較簡單的數(shù)字+字母符合,比如LEO 密碼LEO2011,很容易遭受攻擊者的暴力猜解。
4.后臺管理登錄地址路徑默認安全隱患漏洞,http://www.******.com/adm/login.aspx很容易遭受攻擊者的暴力路徑猜解。
信息系統(tǒng)安全漏洞修復(fù)加固:
我們對其以上的網(wǎng)站漏洞,進行了全面的安全修復(fù)與加固,刪除IAA目錄下的9di5s.ashx木馬后門文件,以及根目錄下的Global.asax文件,并對相應(yīng)的網(wǎng)站目錄設(shè)置了無腳本執(zhí)行權(quán)限,Images js PlugIns sjwskin temp UploadFiles wk wl wwwlogs 這些目錄不允許執(zhí)行腳本文件,包括aspx,ashx,asp,asa,等腳本文件。 針對于上傳漏洞,我們限制了上傳目錄的腳本執(zhí)行權(quán)限,即使上傳木馬文件,也無法執(zhí)行。對網(wǎng)站的管理員密碼進行了更改,數(shù)字+大小寫字母+特殊符號,滿足13位密碼,加強了密碼的猜解程度,對網(wǎng)站的默認后臺地址進行更改(只有內(nèi)部人員知道),以防止被攻擊者猜解到。
至此我們整理了詳細的信息系統(tǒng)安全等級保護整改報告 ,以及網(wǎng)站安全案事件調(diào)查處置情況記錄單,一并交給客戶,客戶再轉(zhuǎn)交給北京市公安局海淀分局網(wǎng)監(jiān)大隊。問題得以圓滿的解決,也由衷的希望大家重視起網(wǎng)絡(luò)安全,不容忽視。
如何寫信息系統(tǒng)安全等級保護限期整改通知書以及網(wǎng)站安全的防護措施
1、選擇安全、穩(wěn)定的主機服務(wù)器商,選擇好主機服務(wù)器商之后,我們也要時刻查看主機服務(wù)器上的其他網(wǎng)站,看一下他們網(wǎng)站的安全情況,如果他們網(wǎng)站也被入侵了,我們也會受到牽連,可能會造成自己網(wǎng)站被攻擊。
2、如果自己對程序代碼編程不太了解的話,建議找網(wǎng)絡(luò)安全公司去修復(fù)網(wǎng)站的漏洞,以及寫信息系統(tǒng)安全等級保護限期整改通知書,國內(nèi)推薦,SINE安全公司、綠盟安全公司、啟明星辰等等的網(wǎng)站安全公司,做深入的網(wǎng)站安全服務(wù),來保障網(wǎng)站的安全穩(wěn)定運行,防止網(wǎng)站被掛馬之類的安全問題。
3、網(wǎng)站的密碼使用MD5增強加密,以及設(shè)置密碼的時候盡可能的設(shè)置12位以上的密碼,數(shù)字+大小寫字符+特殊符號組合。
4、定期的更新服務(wù)器系統(tǒng)漏統(tǒng)(windows 2008 2012、linux centos系統(tǒng)),網(wǎng)站模版漏洞,網(wǎng)站程序漏洞,盡量不適用第三方的API插件代碼,除此之外,服務(wù)器上的殺毒軟件存在的必要性相信我不必再敘述了。
5、選擇代碼安全的網(wǎng)站系統(tǒng),目前CMS系統(tǒng)是移動互聯(lián)網(wǎng)的主流趨勢(PHP+Mysql數(shù)據(jù)庫開發(fā)),選擇CMS系統(tǒng),一定要選擇比較主流的系統(tǒng),開發(fā)商的修復(fù)漏洞以及更新補丁速度會很高效,售后也跟的上。
本文來源http://www.sinesafe.com/article/20180614
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!